Politiques sur les correctifs de sécurité

Le programme des correctifs essentiels (Critical Patch Update/CPU) trimestriel est la méthode principale utilisée pour assurer le rétroportage des correctifs des failles de sécurité des produits Oracle. Les CPU sont publiés à des dates annoncées un an à l’avance et communiquées à la page des CPU et des alertes de sécurité. Les correctifs résolvent les vulnérabilités importantes et comprennent également des corrections de code qui sont des préalables aux correctifs de sécurité.

Pour les clients Oracle Support actifs, les mises à jour de sécurité de tous les produits qui reçoivent des CPU sont disponibles sur le site Web My Oracle Support. Cliquez sur les liens ci-dessous pour en savoir plus sur les politiques Oracle relatives aux correctifs de sécurité :


Alertes de sécurité

Les alertes de sécurité sont un mécanisme de publication d’un seul correctif de sécurité ou d’un petit nombre de correctifs. Jusqu’en août 2004, les alertes de sécurité étaient le principal moyen de publication des correctifs de sécurité. En janvier 2005, Oracle a commencé à publier les correctifs selon un calendrier préétabli, à l’aide des CPU.

Oracle peut lancer une alerte de sécurité si une menace unique ou dangereuse pour les clients survient. Dans ce cas, les clients seront avisés de la présence d’une alerte de sécurité par courriel sur My Oracle Support et Oracle Technology Network. Le correctif inclus dans l’alerte de sécurité sera aussi compris dans la publication du prochain correctif essentiel.

Comparaison entre les correctifs cumulatifs et les correctifs uniques

Oracle fait de son mieux pour s’assurer que les correctifs essentiels sont cumulatifs; c’est-à-dire que chaque correctif essentiel comprend les mises à jour de sécurité de tous les CPU précédents. Dans les faits, pour les produits qui reçoivent des correctifs cumulatifs, et si vous n’utilisez que ceux-ci, le CPU le plus récent est le seul devant être appliqué puisqu’il comprend tous les correctifs requis.

Les correctifs pour les produits ne recevant pas de correctifs cumulatifs sont publiés en tant que correctifs uniques. Pour ces produits, vous devez consulter les avis des correctifs essentiels précédents pour connaître tous les correctifs devant être appliqués.

Annonce relative aux correctifs de sécurité

Conformément à sa politique, Oracle annonce, dans la mesure du possible, la publication de correctifs de sécurité seulement lorsqu’ils sont accessibles à toutes les combinaisons de versions de produits et de plateformes touchées et prises en charge. Toutefois, il existe deux exceptions à cette politique :

1. « Programme sur demande » : Oracle ne publie pas systématiquement de correctifs pour des combinaisons précises de version de produit et de plateforme qui présentent un historique de faible taux de téléchargement par les clients. La production de tels correctifs doit être demandée par les clients. Le programme « sur demande » et le processus de demande de tels correctifs pour les correctifs essentiels récents ou futurs sont expliqués en détail dans le Document sur la disponibilité du correctif qui accompagne chaque publication d’un correctif essentiel.

2. Les publications peuvent connaître de courts retards, d’un maximum de deux semaines après l’annonce. En général, ces retards sont causés par des problèmes techniques survenus lors des phases de production ou de test du correctif.

Veuillez noter que, dans certains cas, les correctifs essentiels pour des combinaisons précises de versions de produit et de plateformes peuvent comprendre des correctifs de sécurité annoncés et non annoncés. Un correctif de sécurité non annoncé peut être inclus dans un correctif essentiel donné lorsque certaines parties seulement de la vulnérabilité ont été corrigées ou que le correctif est seulement offert pour certaines combinaisons de versions et de plateformes d’un produit en particulier.

Correctifs de sécurité et ensembles de correctifs

Les correctifs de sécurité sont aussi inclus dans les ensembles de correctifs (ou l’équivalent) et dans les nouvelles versions de produits. Selon sa politique, Oracle doit inclure toutes les mises à jour de sécurité des correctifs essentiels dans les ensembles de correctifs et les versions des produits postérieurs. Si ce n’est pas possible en raison du moment d’une publication, Oracle crée un correctif comprenant les mises à jour du correctif essentiel le plus récent qui peuvent être appliquées à l’ensemble de correctifs ou à la version d’un produit publiés récemment.

Processus de correction des failles de sécurité

Afin de fournir le meilleur état de sécurité à tous ses clients, Oracle résout les failles importantes en fonction des risques possibles posés aux clients. Ainsi, les problèmes présentant les risques les plus graves sont résolus en premier. Les correctifs de failles de sécurité sont produits dans l’ordre suivant :

  • Ligne de code principale en premier : il s’agit de la ligne de code développée pour la prochaine version majeure du produit.
  • Pour chaque version prise en charge qui est vulnérable :
    • Correctif dans le prochain ensemble de correctifs si un autre ensemble de correctifs est planifié pour cette version prise en charge.
    • Création de CPU.

Notez qu’Oracle recommande FORTEMENT aux clients d’utiliser uniquement des versions de produits prises en charge et d’appliquer sans délai les correctifs contenant les CPU sur les versions utilisées. En effet, Oracle ne fournit pas de correctifs pour les versions de produits non prises en charge, même s’il est très probable qu’elles soient sensibles aux vulnérabilités corrigées par les CPU et que les acteurs malveillants inversent souvent les correctifs des ingénieurs, les utilisent et essaient d’exploiter de façon malveillante ces problèmes peu après la sortie de chaque CPU.

Remarque importante : souvenez-vous qu’Oracle recommande aux clients de garder les CPU comme moyen principal pour rester à jour dans les correctifs de sécurité pour tous les produits touchés, puisque les CPU sont publiés plus fréquemment que les ensembles de correctifs ou que les nouvelles versions de produit.

Documentation sur les CPU

Chaque CPU fait l’objet d’un avis qui fait office de document de synthèse. Cet avis répertorie les produits touchés et contient une matrice des risques pour chaque suite de produits.

Matrices de risque

Les matrices des risques fournissent des informations pour aider les clients à évaluer les risques que posent les vulnérabilités dans leur environnement. Elles peuvent servir à identifier les systèmes les plus à risque pour y appliquer les correctifs en premier. Chaque nouvelle vulnérabilité résolue dans un CPU est répertoriée dans une ligne de la matrice des risques correspondant au produit concerné.

Système commun de notation des vulnérabilités (CVSS)

En octobre 2006, Oracle est passé d’une méthode propriétaire pour indiquer la criticité relative des vulnérabilités dans les matrices des risques, au Système commun de notation des vulnérabilités (CVSS). Le site Web de FIRST décrit le CVSS comme un système d’évaluation « conçu pour fournir des évaluations de criticité ouvertes et universelles des vulnérabilités ». Le système CVSS est une méthode normalisée d’évaluation de la criticité des vulnérabilités. Pour chaque nouvelle vulnérabilité résolue dans le CPU, Oracle fournit des mesures CVSS indiquant les conditions préalables pour exploiter la vulnérabilité, le degré de facilité de l’exploitation et l’impact d’une attaque réussie en termes de confidentialité, d’intégrité et de disponibilité (mesures CIA, Confidentiality, Integrity and Availability) sur le système ciblé. Le système CVSS utilise une formule pour transformer ces informations en une cote de base comprise entre 0,0 et 10,0, où 10,0 représente la vulnérabilité la plus critique. Les matrices des risques sont organisées d’après la cote de base du CVSS, la vulnérabilité la plus critique apparaissant en première ligne. La version 3.0 de la norme CVSS a été adoptée par Oracle en avril 2016 et continue d’être utilisée aujourd’hui. La page Utilisation du système CVSS (Common Vulnerability Scoring System) par Oracle fournit une explication détaillée du mode d’application des évaluations CVSS aux avis de risque émis par Oracle.

Vulnérabilités et expositions courantes (CVE)

Les numéros des vulnérabilités et expositions courantes (CVE) permettent à Oracle d’identifier les vulnérabilités répertoriées dans les matrices des risques des avis des CPU et des alertes de sécurité. Les numéros CVE sont des identifiants communs uniques qui renvoient à des informations publiques relatives aux vulnérabilités. Le programme CVE est coparrainé par le bureau de la cybersécurité et des communications du ministère américain de la Sécurité intérieure, et est géré par l’organisme MITRE. Oracle est une CNA (CVE Numbering Authority, autorité de numérotation CVE), c’est-à-dire que l’entreprise peut créer des références CVE pour les vulnérabilités de ses produits. Notez que l’ordre des références CVE dans les avis de sécurité d’Oracle ne suit pas obligatoirement les dates de découverte des vulnérabilités auxquelles elles font référence. Autrement dit, les références CVE ne sont pas assignées dans l’ordre de découverte des vulnérabilités pour lesquelles des correctifs seront publiés. En effet, les CNA telles qu’Oracle se voient allouer de temps à autre des ensembles de références par MITRE pour ne pas avoir à demander un nouveau CVE dès qu’une vulnérabilité est découverte. Oracle assigne des références CVE aux vulnérabilités de façon séquentielle en tirant une référence du groupe de références CVE assigné par l’organisme CVE environ trois à quatre semaines avant la distribution planifiée du correctif au moyen du programme CPU.

Sommaire

Afin d’aider les entreprises à évaluer rapidement l’importance de potentiels problèmes de sécurité traités dans le CPU, Oracle fournit une synthèse contenant des informations globales sur les défauts de sécurité de chaque produit concerné par le CPU. Ce sommaire fournit une explication simplifiée des vulnérabilités traitées dans le CPU.

Annonce de prépublication relative aux correctifs essentiels

Oracle publie un récapitulatif de la documentation du CPU le jeudi précédant chaque publication de CPU. Ce récapitulatif, appelé Critical Patch Update Pre-Release Announcement (Annonce de prépublication du CPU), fournit des informations étendues sur le CPU à venir, notamment :

  • Nom et numéros de version des produits Oracle touchés par les nouvelles vulnérabilités résolues dans le CPU
  • Nombre de correctifs de sécurité pour chaque suite de produits
  • Cote de base CVSS la plus élevée pour chaque suite de produits
  • Et, éventuellement, toute autre information pertinente pouvant aider les entreprises à planifier l’application du CPU dans leur environnement.

Même si Oracle s’assure que chaque annonce de prépublication soit aussi exacte que possible au moment de sa publication, le contenu réel de chaque CPU peut changer après la publication de cette annonce. L’avis de CPU doit donc être considéré comme la seule description exacte du contenu réel du CPU.